CN105959109A - 一种基于主机卡模拟密钥的存储方法及支付方法 - Google Patents
一种基于主机卡模拟密钥的存储方法及支付方法 Download PDFInfo
- Publication number
- CN105959109A CN105959109A CN201610486021.8A CN201610486021A CN105959109A CN 105959109 A CN105959109 A CN 105959109A CN 201610486021 A CN201610486021 A CN 201610486021A CN 105959109 A CN105959109 A CN 105959109A
- Authority
- CN
- China
- Prior art keywords
- key
- host card
- intelligent terminal
- intrusion detection
- detection based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于主机卡模拟密钥的存储方法及支付方法。一种基于主机卡模拟密钥的存储方法,应用于主机卡模拟服务端,包括,与智能终端通过双向认证形成共享会话密钥;根据所述共享会话密钥存储基于主机卡模拟密钥。本申请中,采用双向认证机制,主机卡模拟服务端与智能终端双方均拥有CA证书,在使用过程成,主机卡模拟服务端与智能终端均需要进行验证,待验证成功后分别通过主机卡模拟服务端、智能终端的公钥和私钥相互协商形成共享会话密钥,加强了主机卡模拟服务端与智能终端使用的安全性,同时也提高了密钥存储的安全性。
Description
技术领域
本发明实施例涉及一种虚拟支付交易技术,尤其涉及基于主机卡模拟密钥的存储方法及支付方法。
背景技术
目前Visa、MasterCard、美国运通、中国银联等各个支付组织发布了基于主机卡片模拟技术的云支付规范,基于主机卡模拟云支付规范旨在借助令牌话技术(Tokenization)实现对各成员金融机构基于主机卡模拟云支付的托管服务,云端通过安全通道机制发送令牌(token)以及与token相关的多次使用密钥(limited use key,简称:LUK)密钥和SUK(single use key一次性使用密钥)密钥至客户端,通常客户端均由移动终端形成,鉴于移动终端的使用环境的安全性不稳定,尤其是基于安卓系统的移动终端,进而导致客户端在交易过程存在较大的安全风向,为了提高支付的安全性,基于主机卡模拟云支付服务端采用了混淆和white box(白盒加密机制)技术等实现对LUK密钥和SUK密钥等加密保护。但是white box技术较复杂、成本较高,同时对敏感数据的保密级别较低。
现有技术提供了一种基于安全元件的主机卡片模拟技术的安全系统及方法,该技术方案采用随机数和非对称加密算法以及扰乱算法保证数据传输过程的机密性,提供对称密钥的MAC(Message Authentication Codes,消息认证码)算法以及摘要算法维持数据传输过程的完整性。
但是上述的一种基于安全元件的主机卡片模拟技术的安全系统及方法仍存在技术缺陷,支付移动终端和主机卡模拟服务端之间的采用的认证方式为单向认证方式的存储方式,单向认证SSL(Secure Sockets Layer安全套接层)协议不需要双方均拥有CA(Certification Authority认证机构)证书,任意用户(IP被限制除外)均可访问,安全系数相对较低,另外在协商对称通话密钥时,主机卡模拟服务端发送给支付移动终端密码方案未经过加密处理,其安全性能较低。
发明内容
针对现有技术中存在的缺陷,本申请提出一种提高敏感信息存储安全性的基于主机卡模拟密钥的存储方法及支付方法。
一方面,本申请提供一种基于主机卡模拟密钥的存储方法,其中,应用于主机卡模拟服务端,包括,
与智能终端通过双向认证形成共享会话密钥;
根据所述共享会话密钥存储基于主机卡模拟密钥。
优选地,上述的一种基于主机卡模拟密钥的存储方法,其中,与智能终端通过双向认证形成共享会话密钥包括:
所述主机卡模拟服务端发送一包含有CA公钥和CA私钥的SP(ServiceProvider服务提供商)证书至所述智能终端;
所述智能终端根据所述CA公钥验证所述SP证书;
于所述SP证书被验证成功后,所述智能终端读取一与所述SP证书匹配的SP公钥,并返回一验证成功的代码至所述主机卡模拟服务端;
所述主机卡模拟服务端生成临时服务公钥和临时服务私钥,并将所述临时服务公钥通过双向认证指令发送至所述智能终端;
所述智能终端生成临时存储私钥和临时存储公钥,
所述智能终端根据所述SP公钥和临时服务私钥计算形成第一共享密钥;
根据所述临时服务公钥和临时存储私钥计算形成第二共享密钥;
所述智能终端根据第一共享密钥和第二共享密钥形成所述共享会话密钥,
所述智能终端计算回执登记,并将所述回执登记和所述临时存储公钥发送至所述主机卡模拟服务端。
优选地,上述的一种基于主机卡模拟密钥的存储方法,其中,根据所述共享会话密钥存储基于主机卡模拟密钥包括,
所述主机卡模拟服务端根据一SP私钥和所述临时存储公钥计算形成所述第一共享密钥,根据所述临时服务私钥和所述临时存储公钥计算形成所述第二共享密钥;
根据所述第一共享密钥和所述第二共享密钥计算形成所述共享会话密钥,并验证所述回执登记;
于所述回执登记被验证成功后,根据所述共享会话密钥存储所述基于主机卡模拟密钥。
优选地,上述的一种基于主机卡模拟密钥的存储方法,其中,所述主机卡模拟服务端通过APDU指令发送所述SP证书至所述智能终端。
优选地,上述的一种基于主机卡模拟密钥的存储方法,其中,于所述SP证书未被验证成功状态下,所述智能终端返回一验证失败代码至所述主机卡模拟服务端。
优选地,上述的一种基于主机卡模拟密钥的存储方法,其中,所述基于主机卡模拟密钥包括对称密钥和非对称密钥。
另一方面,本申请提供一种上述任一所存储的基于主机卡模拟密钥的支付验证方法,其中,
于接收一支付请求状态下,主机卡模拟服务端生成第一加密参数,通过执行安全操作单元的APDU指令将所述第一加密参数发送至所述智能终端;
所述智能终端生成第二加密参数,并结合所述第一加密参数形成共享会话密钥,并执行加密操作形成一登记回执;返回所述第三加密参数、所述登记回执至所述主机卡模拟服务端;
所述主机卡模拟服务端根据所述第三加密参数计算形成所述共享会话密钥,根据共享会话密钥解密验证所述登记回执;
于所述登记回执验证成功后执行所述支付请求。
优选地,上述的一种基于主机卡模拟密钥的支付方法,其中,所述主机卡模拟服务端生成所述第一加密参数,通过执行安全操作单元的APDU指令将所述第一加密参数发送至所述智能终端,其中所述第一加密参数包括一临时服务公钥和一临时服务私钥、加密数据;具体包括,
所述主机卡模拟服务端生成所述临时服务公钥和所述临时服务私钥,并将所述临时服务公钥结合所述加密数据发送至所述智能终端。
优选地,上述的一种基于主机卡模拟密钥的支付方法,其中,所述智能终端生成所述第二加密参数,并结合所述第一加密参数形成共享会话密钥、执行加密操作形成所述登记回执;并返回所述第三加密参数、所述登记回执至所述主机卡模拟服务端;其中第二加密参数包括临时存储公钥、临时存储私钥,具体包括:
所述智能终端生成所述临时存储公钥和所述临时存储私钥,根据所述临时服务公钥、所述临时存储私钥计算形成所述共享会话密钥;
所述智能终端根据所述加密数据执行加密安全操作形成一加密信息,并根据所述加密信息结合所述共享会话密钥形成一存储密文、所述回执登记;
所述智能终端将所述第三加密参数、所述回执登记发送至所述主机卡模拟服务端;所述第三加密参数包括所述临时存储公钥、所述存储密文。
优选地,上述的一种基于主机卡模拟密钥的支付方法,其中,所述主机卡模拟服务端根据所述第三加密参数计算形成所述共享会话密钥,根据共享会话密钥解密验证所述登记回执;包括,
所述主机卡模拟服务端根据所述临时存储公钥、所述临时存储公钥计算形成所述共享会话密钥,
根据所述共享会话密钥解密所述存储密文获得所述加密信息;
根据所述加密信息验证所述回执登记,于所述回执登记验证成功后执行所述支付请求。
优选地,上述的一种基于主机卡模拟密钥的支付方法,其中,于所述支付请求完成后,删除与所述支付请求匹配的所述加密信息。
优选地,上述的一种基于主机卡模拟密钥的支付方法,其中,所述加密数据包括加密基本数据、密钥验证号及密钥类型。
优选地,上述的一种基于主机卡模拟密钥的支付方法,其中,所述加密信息为一次性支付交易密钥。
本申请中,通过采用双向认证制度存储主机卡模拟密钥,所述基于主机卡模拟存储单元根据所述SP公钥和临时服务私钥计算形成第一共享密钥;根据基于主机卡模拟存储单元服务公钥和临时存储私钥计算形成第二共享密钥;根据第一共享密钥和第二共享密钥形成所述共享会话密钥,所述主机卡模拟服务端根据一SP私钥和所述临时存储公钥计算形成所述第一共享密钥,根据所述临时服务私钥和所述临时存储公钥计算形成第二共享密钥;根据所述第一共享密钥和所述第二共享密钥计算形成所述共享会话密钥,所述基于主机卡模拟存储单元和所述主机卡模拟服务端分别计算形成共享会话密钥,并实行双向认证制度,提高了密钥、或敏感信息存储的安全性。
附图说明
图1为本发明中一种基于主机卡模拟密钥的存储方法的流程图;
图2为本发明中一种基于主机卡模拟密钥的存储方法的流程图;
图3为本发明中一种基于主机卡模拟密钥的存储方法的流程图;
图4是本发明中一种基于主机卡模拟密钥的支付方法的流程图;
图5是本发明中一种基于主机卡模拟密钥的支付方法的流程图;
图6是本发明中一种基于主机卡模拟密钥的支付方法的流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的基于主机卡模拟密钥的存储方法的流程图,本实施例可适用于虚拟支付的密钥存储,该方法可以由主机卡模拟服务端支付来执行,具体包括如下步骤:
步骤S11、主机卡模拟服务端与智能终端通过双向认证形成共享会话密钥;进一步地,所述智能终端可由基于主机卡模拟存储单元形成。
步骤S12、根据所述共享会话密钥存储基于主机卡模拟密钥。
采用双向认证机制,主机卡模拟服务端与智能终端双方均拥有CA证书,在使用过程成,主机卡模拟服务端与智能终端均需要进行验证,待验证成功后分别通过主机卡模拟服务端、智能终端的公钥和私钥相互协商形成共享会话密钥,加强了主机卡模拟服务端与智能终端使用的安全性,同时也提高了密钥存储的安全性。
如图2所示,作为进一步优选实施方案,于步骤S11、主机卡模拟服务端与智能终端双向认证并协商形成共享会话密钥中;具体包括:
步骤S110、所述主机卡模拟服务端发送一包含有CA公钥和CA私钥的SP证书至所述基于主机卡模拟存储单元;
其中,SP证书为主机卡模拟服务端的证书,本实施例中,SP证书为经CA签名的SP证书,CA签名包括CA公钥与CA私钥。进一步地,所述主机卡模拟服务端通过APDU(Application Protocol data unit,是智能卡与智能卡读卡器之间传送的信息单元)指令发送SP证书至所述基于主机卡模拟存储单元,APDU(Application Protocol data unit智能卡与智能卡读卡器之间传送的信息单元)由主机卡模拟服务端的PSO(Perform SecurityOperation执行安全操作)单元形成。
步骤S111、所述基于主机卡模拟存储单元根据所述CA公钥验证所述SP证书;根据X.509国际标准规定,基于主机卡模拟存储单元通过对CA公钥对SP证书上的签字进行验证,一旦签字认证通过,则判定SP证书为有效的。
步骤S112、于所述SP证书被验证成功后,所述基于主机卡模拟存储单元读取一与所述SP证书匹配的SP公钥,并返回一验证成功的代码至所述主机卡模拟服务端;进一步地,验证成功的代码可为0x9000。反之则可判定为验证失败。
步骤S113、所述主机卡模拟服务端生成临时服务公钥和临时服务私钥,并将所述临时服务公钥通过双向认证指令发送至所述基于主机卡模拟存储单元;
步骤S114、所述基于主机卡模拟存储单元生成临时存储私钥和临时存储公钥;
步骤S115、所述基于主机卡模拟存储单元根据所述SP公钥和临时服务私钥计算形成第一共享密钥;
步骤S116、根据基于主机卡模拟存储单元服务公钥和临时存储私钥计算形成第二共享密钥;
步骤S117、所述基于主机卡模拟存储单元根据第一共享密钥和第二共享密钥形成所述共享会话密钥,
步骤S118、所述基于主机卡模拟存储单元计算回执登记,并将所述回执登记和所述临时存储公钥发送至所述主机卡模拟服务端。
如图3所示,作为进一步优选实施方案,于步骤S12根据所述共享会话密钥存储基于主机卡模拟密钥中,具体包括:
步骤S121、所述主机卡模拟服务端根据一SP私钥和所述临时存储公钥计算形成所述第一共享密钥,根据所述临时服务私钥和所述临时存储公钥计算形成第二共享密钥;
步骤S122、根据所述第一共享密钥和所述第二共享密钥计算形成所述共享会话密钥,并验证所述回执登记;
步骤S123、于所述回执登记被验证成功后,根据所述共享会话密钥存储所述基于主机卡模拟密钥。
本申请中,所述基于主机卡模拟存储单元根据所述SP公钥和临时服务私钥计算形成第一共享密钥;根据基于主机卡模拟存储单元服务公钥和临时存储私钥计算形成第二共享密钥;根据第一共享密钥和第二共享密钥形成所述共享会话密钥,所述主机卡模拟服务端根据SP私钥和所述临时存储公钥计算形成所述第一共享密钥,根据所述临时服务私钥和所述临时存储公钥计算形成第二共享密钥;根据所述第一共享密钥和所述第二共享密钥计算形成所述共享会话密钥,所述基于主机卡模拟存储单元和所述主机卡模拟服务端分别计算形成共享会话密钥,并实行双向认证制度,提高了密钥、或敏感信息存储的安全性。
进一步地,于上述的基于主机卡模拟密钥的存储方法,其中所述基于主机卡模拟密钥包括对称密钥和非对称密钥。当基于主机卡模拟密钥为对称密钥时,主机卡模拟服务端与基于主机卡模拟存储单元双方必须使用相同的密钥进行加密或解密运算,当基于主机卡模拟密钥为非对称密钥时,主机卡模拟服务端与基于主机卡模拟存储单元双方必须使用相同的密钥进行加密或解密运算,主机卡模拟服务端与基于主机卡模拟存储单元采用不同的密钥进行加密或解密运算。
以非对称密钥为例,在基于主机卡模拟存储单元中,每个AID可存放多条的SUK密钥,始终更新存放1条LUK和非对称私钥,其具体存储格式如表1下:
| 名称 | 长度(字节) |
| 密钥标识 | 1 |
| ATC | 4 |
| 基于主机卡模拟AID RIX | 5 |
| 基于主机卡模拟AID PIX | 11 |
| 密钥类型 | 1 |
| 密钥ID | 1 |
| 密钥值 | TLV |
表1
其中,密钥标识为0x00,表示该密钥为LUK密钥,当密钥标准为0x01为SUK密钥。
基于主机卡模拟AID RIX为A000000003表示为Visa国际支付组织,基于主机卡模拟AID RIX为A000000004表示为Mastercard国际支付组织,基于主机卡模拟AID RIX为A000000025表示为美国运通支付组织,当基于主机卡模拟AID RIX为A000000333表示为中国银联支付组织。
通过读取不同的基于主机卡模拟AID RIX,可支持Visa MasterCard美国运通和中国银联等多个支付组织基于主机卡模拟云支付规范。兼容性强。
基于主机卡模拟AID PIX作为基于主机卡模拟独一标识一个运用,通常由了应用提供商标识、扩展的专用应用标识符两部分组成。
实施例二
图4为本发明实施例二提供的基于主机卡模拟密钥的支付方法的流程图,本实施例可适用于虚拟支付,包括主机卡模拟服务端和智能终端,该方法可以由主机卡模拟服务端支付来执行,具体包括如下步骤:
步骤S21、于接收一支付请求状态下,主机卡模拟服务端生成第一加密参数通过执行安全操作单元的APDU指令发送至所述智能终端;其中所述第一加密参数包括一临时服务公钥和一临时服务私钥、加密数据;具体地,所述主机卡模拟服务端生成所述临时服务公钥和所述临时服务私钥,并将所述临时服务公钥结合所述加密数据发送至所述智能终端。进一步地,所述加密数据包括加密基本数据、密钥验证号及密钥类型。
步骤S22、所述智能终端生成第二加密参数,并结合所述第一加密参数形成共享会话密钥、执行加密操作形成一登记回执;并返回所述第三加密参数;其中第二加密参数包括临时存储公钥、临时存储私钥;
步骤S23、所述主机卡模拟服务端根据所述第三加密参数计算形成所述共享会话密钥,根据共享会话密钥解密验证所述登记回执;
步骤S24、于所述登记回执验证成功后执行所述支付请求。
步骤S25、于所述支付请求完成后,删除与所述支付请求匹配的所述加密信息。
本申请中,在加密过程中,所述基于主机卡模拟存储单元根据所述SP公钥和临时服务私钥计算形成第一共享密钥;根据基于主机卡模拟存储单元服务公钥和临时存储私钥计算形成第二共享密钥;根据第一共享密钥和第二共享密钥形成所述共享会话密钥,在解密过程中,所述主机卡模拟服务端根据一SP私钥和所述临时存储公钥计算形成所述第一共享密钥,根据所述临时服务私钥和所述临时存储公钥计算形成第二共享密钥;根据所述第一共享密钥和所述第二共享密钥计算形成所述共享会话密钥,根据该共享会话密钥实现支付交易。所述基于主机卡模拟存储单元和所述主机卡模拟服务端分别计算形成共享会话密钥,并实行双向认证制度,提高了交易的安全性。
如图5所示,作为进一步优选实施方案,于步骤S22所述智能终端生成第二加密参数,并结合所述第一加密参数形成共享会话密钥、执行加密操作形成一登记回执;并返回所述第三加密参数;其中第二加密参数包括临时存储公钥、临时存储私钥,具体包括:
步骤S221、所述智能终端生成所述临时存储公钥和所述临时存储私钥,根据所述临时服务公钥、所述临时存储私钥计算形成所述共享会话密钥;
步骤S222、所述智能终端根据所述加密数据执行加密安全操作形成一加密信息,并根据所述加密信息结合所述共享会话密钥形成一存储密文、所述回执登记;
步骤S223、所述智能终端将所述第三加密参数发送至所述主机卡模拟服务端;所述第三加密参数包括所述临时存储公钥、所述存储密文、所述回执登记。
如图6所示,作为进一步优选实施方案,于步骤S23所述主机卡模拟服务端根据所述第三加密参数计算形成所述共享会话密钥,根据共享会话密钥解密验证所述登记回执中;具体包括,
步骤S231、所述主机卡模拟服务端根据所述临时存储公钥、所述临时存储公钥计算形成所述共享会话密钥,
步骤S232、根据所述共享会话密钥解密所述存储密文获得所述加密信息;
步骤S233、根据所述加密信息验证所述回执登记,于所述回执登记验证成功后执行所述支付请求。
进一步地,所述加密信息为一次性支付交易密钥。采用完全正向保密(perfect forward secrecy)机制,要求一个密钥只能访问由它所保护的敏感数据;用来产生密钥的加密信息一次一换,不能再产生其他的密钥;一个密钥被破解,并不影响其他密钥的安全性。在长期使用密钥不能确保起安全性的情况下而不影响过去会话的保密性。
虽然本发明的各个方面在独立权利要求中给出,但是本发明的其它方面包括来自所描述实施方式的特征和/或具有独立权利要求的特征的从属权利要求的组合,而并非仅是权利要求中所明确给出的组合。
这里所要注意的是,虽然以上描述了本发明的示例实施方式,但是这些描述并不应当以限制的含义进行理解。相反,可以进行若干种变化和修改而并不背离如所附权利要求中所限定的本发明的范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (13)
1.一种基于主机卡模拟密钥的存储方法,其特征在于,应用于主机卡模拟服务端,包括,
与智能终端通过双向认证形成共享会话密钥;
根据所述共享会话密钥存储基于主机卡模拟密钥。
2.根据权利要求1所述的一种基于主机卡模拟密钥的存储方法,其特征在于,与智能终端通过双向认证形成共享会话密钥包括:
所述主机卡模拟服务端发送一包含有CA公钥和CA私钥的SP证书至所述智能终端;
所述智能终端根据所述CA公钥验证所述SP证书;
于所述SP证书被验证成功后,所述智能终端读取一与所述SP证书匹配的SP公钥,并返回一验证成功的代码至所述主机卡模拟服务端;
所述主机卡模拟服务端生成临时服务公钥和临时服务私钥,并将所述临时服务公钥通过双向认证指令发送至所述智能终端;
所述智能终端生成临时存储私钥和临时存储公钥,
所述智能终端根据所述SP公钥和临时服务私钥计算形成第一共享密钥;
根据所述临时服务公钥和临时存储私钥计算形成第二共享密钥;
所述智能终端根据第一共享密钥和第二共享密钥形成所述共享会话密钥,
所述智能终端计算回执登记,并将所述回执登记和所述临时存储公钥发送至所述主机卡模拟服务端。
3.根据权利要求2所述的一种基于主机卡模拟密钥的存储方法,其特征在于,根据所述共享会话密钥存储基于主机卡模拟密钥包括,
所述主机卡模拟服务端根据一SP私钥和所述临时存储公钥计算形成所述第一共享密钥,根据所述临时服务私钥和所述临时存储公钥计算形成所述第二共享密钥;
根据所述第一共享密钥和所述第二共享密钥计算形成所述共享会话密钥,并验证所述回执登记;
于所述回执登记被验证成功后,根据所述共享会话密钥存储所述基于主机卡模拟密钥。
4.根据权利要求2所述的一种基于主机卡模拟密钥的存储方法,其特征在于,所述主机卡模拟服务端通过APDU指令发送所述SP证书至所述智能终端。
5.根据权利要求2所述的一种基于主机卡模拟密钥的存储方法,其特征在于,于所述SP证书未被验证成功状态下,所述智能终端返回一验证失败代码至所述主机卡模拟服务端。
6.根据权利要求1所述的一种基于主机卡模拟密钥的存储方法,其特征在于,所述基于主机卡模拟密钥包括对称密钥和非对称密钥。
7.一种基于权利要求1-6任一所存储的基于主机卡模拟密钥的支付验证方法,其特征在于,
于接收一支付请求状态下,主机卡模拟服务端生成第一加密参数,通过执行安全操作单元的APDU指令将所述第一加密参数发送至所述智能终端;
所述智能终端生成第二加密参数,并结合所述第一加密参数形成共享会话密钥,并执行加密操作形成一登记回执;返回所述第三加密参数、所述登记回执至所述主机卡模拟服务端;
所述主机卡模拟服务端根据所述第三加密参数计算形成所述共享会话密钥,根据共享会话密钥解密验证所述登记回执;
于所述登记回执验证成功后执行所述支付请求。
8.根据权利要求7所述的一种基于主机卡模拟密钥的支付方法,其特征在于,所述主机卡模拟服务端生成所述第一加密参数,通过执行安全操作单元的APDU指令将所述第一加密参数发送至所述智能终端,其中所述第一加密参数包括一临时服务公钥和一临时服务私钥、加密数据;具体包括,
所述主机卡模拟服务端生成所述临时服务公钥和所述临时服务私钥,并将所述临时服务公钥结合所述加密数据发送至所述智能终端。
9.根据权利要求8所述的一种基于主机卡模拟密钥的支付方法,其特征在于,所述智能终端生成所述第二加密参数,并结合所述第一加密参数形成共享会话密钥、执行加密操作形成所述登记回执;并返回所述第三加密参数、所述登记回执至所述主机卡模拟服务端;其中第二加密参数包括临时存储公钥、临时存储私钥,具体包括:
所述智能终端生成所述临时存储公钥和所述临时存储私钥,根据所述临时服务公钥、所述临时存储私钥计算形成所述共享会话密钥;
所述智能终端根据所述加密数据执行加密安全操作形成一加密信息,并根据所述加密信息结合所述共享会话密钥形成一存储密文、所述回执登记;
所述智能终端将所述第三加密参数、所述回执登记发送至所述主机卡模拟服务端;所述第三加密参数包括所述临时存储公钥、所述存储密文。
10.根据权利要求9所述的一种基于主机卡模拟密钥的支付方法,其特征在于,所述主机卡模拟服务端根据所述第三加密参数计算形成所述共享会话密钥,根据共享会话密钥解密验证所述登记回执;包括,
所述主机卡模拟服务端根据所述临时存储公钥、所述临时存储公钥计算形成所述共享会话密钥,
根据所述共享会话密钥解密所述存储密文获得所述加密信息;
根据所述加密信息验证所述回执登记,于所述回执登记验证成功后执行所述支付请求。
11.根据权利要求7所述的一种基于主机卡模拟密钥的支付方法,其特征在于,于所述支付请求完成后,删除与所述支付请求匹配的所述加密信息。
12.根据权利要求8所述的一种基于主机卡模拟密钥的支付方法,其特征在于,所述加密数据包括加密基本数据、密钥验证号及密钥类型。
13.根据权利要求9所述的一种基于主机卡模拟密钥的支付方法,其特征在于,所述加密信息为一次性支付交易密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610486021.8A CN105959109A (zh) | 2016-06-28 | 2016-06-28 | 一种基于主机卡模拟密钥的存储方法及支付方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610486021.8A CN105959109A (zh) | 2016-06-28 | 2016-06-28 | 一种基于主机卡模拟密钥的存储方法及支付方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105959109A true CN105959109A (zh) | 2016-09-21 |
Family
ID=56904304
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610486021.8A Pending CN105959109A (zh) | 2016-06-28 | 2016-06-28 | 一种基于主机卡模拟密钥的存储方法及支付方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105959109A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104240074A (zh) * | 2014-10-11 | 2014-12-24 | 上海众人科技有限公司 | 基于身份认证的预付卡联机支付系统及其支付方法 |
| WO2016033610A1 (en) * | 2014-08-29 | 2016-03-03 | Visa International Service Association | Methods for secure cryptogram generation |
| CN105530596A (zh) * | 2014-10-21 | 2016-04-27 | 三星电子株式会社 | 用于安全连接的设备和方法 |
-
2016
- 2016-06-28 CN CN201610486021.8A patent/CN105959109A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016033610A1 (en) * | 2014-08-29 | 2016-03-03 | Visa International Service Association | Methods for secure cryptogram generation |
| CN104240074A (zh) * | 2014-10-11 | 2014-12-24 | 上海众人科技有限公司 | 基于身份认证的预付卡联机支付系统及其支付方法 |
| CN105530596A (zh) * | 2014-10-21 | 2016-04-27 | 三星电子株式会社 | 用于安全连接的设备和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103729941B (zh) | 一种终端主密钥tmk安全下载方法及系统 | |
| CN103716168B (zh) | 密钥管理方法及系统 | |
| CN102594558B (zh) | 一种可信计算环境的匿名数字证书系统及验证方法 | |
| WO2021120683A1 (zh) | 基于身份认证的安全通讯方法及装置 | |
| US9112679B2 (en) | Storing a key in a remote security module | |
| CN104393993B (zh) | 一种用于售电终端的安全芯片及其实现方法 | |
| CN106527673A (zh) | 绑定可穿戴设备的方法和装置、电子支付方法和装置 | |
| CN111178880A (zh) | 一种零信任和保护数据隐私的安全数据流通方法 | |
| US8332628B2 (en) | Method for accessing data safely suitable for electronic tag | |
| CN103780618A (zh) | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 | |
| US20050010535A1 (en) | Anonymous payment with a verification possibility by a defined party | |
| KR101450291B1 (ko) | 스마트 칩 인증 서버 및 그 방법 | |
| CN109547208B (zh) | 金融电子设备主密钥在线分发方法及系统 | |
| CN105208024A (zh) | 不使用https的数据安全传输方法及系统、客户端和服务端 | |
| CN109800588A (zh) | 条码动态加密方法及装置、条码动态解密方法及装置 | |
| CN110046906A (zh) | 一种mpos机与服务器的双向认证交易方法及系统 | |
| JP2001134534A (ja) | 認証代行方法、認証代行サービスシステム、認証代行サーバ装置及びクライアント装置 | |
| CN108460597A (zh) | 一种密钥管理系统及方法 | |
| CN101997835A (zh) | 网络安全通讯方法、数据安全处理装置和用于金融的系统 | |
| Thammarat et al. | A secure mobile payment protocol for handling accountability with formal verification | |
| CN101521571A (zh) | 一种移动硬件安全单元、服务方认证方法 | |
| JP2007298985A (ja) | 銀行カードのコンピュータにおけるpki応用の一つの実現方法 | |
| CN105959109A (zh) | 一种基于主机卡模拟密钥的存储方法及支付方法 | |
| JP3634279B2 (ja) | 複数icカード間及び同一icカード内のアプリケーション連携方法 | |
| CN106027255B (zh) | 一种身份证读卡响应安全控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20200626 |